Welche Fristen gelten für die NIS 2 Umsetzung in Deutschland?

Das NIS2UmsuCG ist seit dem 6. Dezember 2025 in Kraft — ohne Übergangsfrist. Die Registrierungsfrist beim BSI lief am 6. März 2026 ab. Eine Nachregistrierung ist weiterhin möglich, aber mit jedem weiteren Tag wächst das Bußgeldrisiko. Unternehmen, die erst durch Wachstum oder einen Sektorwechsel in den Geltungsbereich fallen, haben nach Feststellung der Betroffenheit drei Monate Zeit zur Registrierung.

Welche Bußgelder drohen bei Verstößen gegen das NIS2UmsuCG?

§ 65 BSIG sieht für besonders wichtige Einrichtungen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Für wichtige Einrichtungen liegt die Obergrenze bei 7 Millionen Euro oder 1,4 Prozent des Umsatzes. Bußgelder können bereits bei fehlenden Sicherheitsmaßnahmen oder einer versäumten Registrierung verhängt werden — ein tatsächlicher Cyberangriff ist keine Voraussetzung.

Was sind die häufigsten Fehler bei der NIS 2 Umsetzung?

In der Praxis zeigen sich vor allem drei Probleme: Erstens wird die eigene Betroffenheit falsch eingeschätzt, weil die Sektorzuordnung unterschätzt wird. Zweitens behandeln viele Unternehmen die NIS2-Umsetzung als reines IT-Projekt und übersehen die gesetzliche Verantwortung der Geschäftsführung nach § 38 BSIG. Drittens wird die Lieferkettensicherheit vernachlässigt, obwohl sie sowohl direkte Pflicht als auch indirekter Treiber für Zulieferer ist.

Haften Geschäftsführer persönlich, wenn NIS 2 nicht umgesetzt wird?

Ja. § 38 BSIG verpflichtet die Leitungsebene, Cybersicherheitsmaßnahmen aktiv zu genehmigen, zu überwachen und sich entsprechend schulen zu lassen. Bei schuldhafter Pflichtverletzung besteht eine Innenhaftung gegenüber dem eigenen Unternehmen — ein vertraglicher Haftungsausschluss ist gesetzlich nicht möglich. Ob eine D&O-Versicherung in solchen Fällen greift, ist rechtlich noch nicht abschließend geklärt.

Gilt NIS 2 auch für kleinere Unternehmen, die unter den Schwellenwerten liegen?

Direkt verpflichtet sind grundsätzlich nur Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Jahresumsatz in einem der 18 definierten Sektoren. Indirekt betroffen sind aber auch kleinere Betriebe, die als Zulieferer oder Dienstleister für regulierte Einrichtungen tätig sind: Diese werden zunehmend vertraglich zur Einhaltung von Sicherheitsstandards verpflichtet, weil § 30 BSIG die Lieferkettensicherheit ausdrücklich einschließt.

Wie hängen NIS 2 und ISO 27001 zusammen?

Die zehn Maßnahmenbereiche des § 30 BSIG überschneiden sich inhaltlich stark mit den Anforderungen der ISO 27001. Wer bereits nach diesem Standard zertifiziert ist, hat einen erheblichen Vorsprung bei der NIS2-Umsetzung. Vollständig ersetzt wird die NIS2-Compliance dadurch jedoch nicht, da spezifische Anforderungen — etwa das dreistufige Meldeverfahren und die Geschäftsleitungspflichten nach § 38 BSIG — über den ISO-27001-Rahmen hinausgehen.

NIS 2 Umsetzung: Was Ihr Unternehmen jetzt konkret tun muss

Bild: Künstlich generiert

NIS 2 Umsetzung: Was Ihr Unternehmen jetzt konkret tun muss

Stand: April 2026

Seit dem 6. Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG) in Deutschland — ohne Übergangsfrist, ohne Schonfrist, ohne Aufschub. Was das für Sie als Geschäftsführer bedeutet: Die Pflichten aus §30 BSIG sind an diesem Tag in Kraft getreten, und zwar sofort verbindlich. In unserer Beratungspraxis erleben wir, dass viele Unternehmen die Tragweite dieser Regelung noch unterschätzen. Dieser Leitfaden zeigt Ihnen, wo Sie heute stehen müssen — und was konkret zu tun ist.

NIS2: Welche Unternehmen sind betroffen?

Die erste Frage, die Sie sich stellen müssen: Fällt Ihr Unternehmen überhaupt unter das Gesetz? Die Antwort hängt von zwei Faktoren ab — dem Sektor, in dem Sie tätig sind, und Ihrer Unternehmensgröße.

Das NIS2UmsuCG unterscheidet zwischen zwei Kategorien betroffener Einrichtungen:

Besonders wichtige Einrichtungen (bwE). Hierunter fallen Unternehmen aus den 11 Sektoren hoher Kritikalität in Anlage 1 des BSIG — darunter Energie, Transport, Bankwesen, Gesundheit und digitale Infrastruktur — mit mindestens 250 Mitarbeitern oder mehr als 50 Millionen Euro Umsatz bei gleichzeitig über 43 Millionen Euro Bilanzsumme.
Wichtige Einrichtungen (wE). Diese Kategorie erfasst Unternehmen aus Anlage 1 und den 7 weiteren kritischen Sektoren in Anlage 2 — etwa Lebensmittelproduktion, Chemie und verarbeitendes Gewerbe — ab 50 Mitarbeitern oder mehr als 10 Millionen Euro Umsatz bei über 10 Millionen Euro Bilanzsumme.

Insgesamt sind in Deutschland rund 29.000 bis 30.000 Unternehmen betroffen — gegenüber etwa 4.500 unter der Vorgängerregelung NIS1 eine Versiebenfachung. Nehmen wir ein konkretes Beispiel: Ein mittelständischer Chemielieferant in Düsseldorf mit 65 Mitarbeitern und 12 Millionen Euro Jahresumsatz fällt als wichtige Einrichtung unter NIS2 — auch wenn das Unternehmen bisher keinerlei Berührung mit Cybersicherheitsregulierung hatte.

Wichtig für Unternehmensgruppen: Verbundene und Partnerunternehmen müssen ihre Mitarbeiter- und Finanzzahlen nach der EU-Empfehlung 2003/361/EG zusammenrechnen. Wer knapp unterhalb der Schwellen liegt, sollte das sorgfältig prüfen. Und: Ein Statuswechsel — nach oben wie nach unten — tritt erst nach zwei aufeinanderfolgenden Geschäftsjahren ein, in denen die Schwellenwerte über- beziehungsweise unterschritten wurden.

Registrierungspflicht beim BSI: Wer muss sich bis wann melden?

Alle betroffenen Einrichtungen waren verpflichtet, sich bis zum 6. März 2026 im BSI-Portal zu registrieren — das ist die Drei-Monats-Frist ab Inkrafttreten des Gesetzes. Das BSI hat das entsprechende Portal (Mein Unternehmenskonto, kurz MUK) allerdings erst am 6. Januar 2026 freigeschaltet, also einen Monat nach Inkrafttreten des Gesetzes. Das BSI hat öffentlich erklärt, bei verspäteten Registrierungen zunächst keine Sanktionen zu verhängen — eine gewisse Kulanz also, die aber keine Dauerlösung ist.

Wichtiger Hinweis: Die verspätete Registrierung ist ein eigenständiger Bußgeldtatbestand nach §65 Abs. 2 Nr. 6 BSIG. Wer sich noch nicht registriert hat, sollte das unverzüglich nachholen — die BSI-Kulanz ist keine rechtliche Absicherung.

Bis zum Fristablauf hatten sich lediglich rund 38,5 Prozent der betroffenen Unternehmen tatsächlich registriert. Das bedeutet: Mehr als sechs von zehn betroffenen Unternehmen waren zu diesem Zeitpunkt noch nicht im System erfasst. Für Sie als Geschäftsführer heißt das — falls noch nicht geschehen — handeln Sie jetzt.

So läuft die Registrierung ab

Die Anmeldung erfolgt über das Portal „Mein Unternehmenskonto“ mit einem ELSTER-Organisationszertifikat. Wenn Sie bereits ELSTER für die elektronische Steuererklärung nutzen, haben Sie den ersten Schritt bereits getan. Nach der Registrierung gilt: Änderungen an den Unternehmensdaten müssen unverzüglich, spätestens innerhalb von zwei Wochen, über das BSI-Portal gemeldet werden. Das ist keine Einmalaufgabe, sondern eine laufende Pflicht.

Technische und organisatorische Maßnahmen nach NIS2

Das Herzstück der NIS2-Pflichten sind die technischen und organisatorischen Maßnahmen (TOM) nach §30 Abs. 2 BSIG. Zehn Mindestmaßnahmen sind verpflichtend — und zwar seit dem 6. Dezember 2025, ohne Übergangsfrist. Für Sie als Unternehmer bedeutet das: Diese Anforderungen sind kein Zukunftsprojekt mehr, sondern geltendes Recht.

Risikoanalyse und Sicherheitskonzepte. Dokumentierte Bewertung Ihrer IT-Risiken als Grundlage aller weiteren Maßnahmen.
Incident Response. Klare Prozesse für den Umgang mit Sicherheitsvorfällen — wer tut was, wenn ein Angriff erkannt wird?
Business Continuity, Backup und Wiederherstellung. Betriebsfortführungspläne und getestete Backup-Strategien.
Lieferkettensicherheit. Anforderungen an Ihre Zulieferer und Dienstleister (dazu mehr im nächsten Abschnitt).
Schwachstellenmanagement. Regelmäßiges Scannen und Schließen von Sicherheitslücken in IT-Systemen.
Wirksamkeitsbewertung. Prüfung, ob die umgesetzten Maßnahmen tatsächlich wirken.
Schulungen. Mitarbeiter und Führungskräfte müssen für Cybersicherheitsrisiken sensibilisiert werden.
Kryptographie. Verschlüsselung sensibler Daten und Kommunikation.
Zugangskontrolle. Wer darf auf welche Systeme zugreifen — und wer nicht?
Multi-Faktor-Authentifizierung (MFA). Neu und explizit vorgeschrieben: Anmeldungen an kritischen Systemen müssen durch mindestens zwei unabhängige Faktoren gesichert werden.

Der Umfang der Maßnahmen richtet sich nach dem Verhältnismäßigkeitsprinzip: Ihre Risikoexposition, Unternehmensgröße, Umsetzungskosten sowie Eintrittswahrscheinlichkeit und Schwere möglicher Vorfälle fließen in die Bewertung ein. Ein Betrieb in Nürnberg mit 87 Mitarbeitern in der Lebensmittelproduktion muss nicht denselben Aufwand betreiben wie ein Energieversorger mit 3.000 Beschäftigten — aber er muss die Maßnahmen umsetzen.

Betreiber kritischer Anlagen trifft zusätzlich §31 BSIG: Sie müssen Systeme zur Angriffserkennung (Intrusion Detection Systems) nach Stand der Technik einsetzen — eine Anforderung, die über die allgemeinen TOM hinausgeht.

Tipp: Wer bereits ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 betreibt, hat einen erheblichen Vorsprung. Ein konsequent umgesetztes ISO-27001-Zertifikat oder BSI-IT-Grundschutz deckt typischerweise rund 90 bis 95 Prozent der NIS2-Anforderungen ab. Eine eigenständige NIS2-Zertifizierung existiert nicht — diese Standards gelten als anerkannte Nachweise.

Meldepflichten bei Sicherheitsvorfällen: Fristen und Verfahren

Wenn es zu einem erheblichen Sicherheitsvorfall kommt, tickt die Uhr sofort. Das Meldeverfahren nach §32 NIS2UmsuCG ist dreistufig aufgebaut — und die Fristen sind eng.

Die drei Stufen der Meldepflicht

Frühwarnung innerhalb von 24 Stunden. Sobald Sie Kenntnis von einem erheblichen Vorfall haben, muss eine erste Meldung an das BSI erfolgen — auch wenn zu diesem Zeitpunkt noch keine vollständigen Informationen vorliegen.
Folgemeldung innerhalb von 72 Stunden. Eine detailliertere Einschätzung des Vorfalls, seiner Ursachen und der betroffenen Systeme ist innerhalb von drei Tagen nachzureichen.
Abschlussbericht nach einem Monat. Spätestens vier Wochen nach dem Vorfall ist ein vollständiger Bericht einzureichen, der Ursachen, Auswirkungen und ergriffene Gegenmaßnahmen dokumentiert.

In der Beratungspraxis begegnet uns häufig die Frage: Was ist überhaupt ein „erheblicher“ Vorfall? Hier kommt es auf die Auswirkungen an — Betriebsunterbrechungen, Datenverluste oder Reputationsschäden, die einen bestimmten Schweregrad überschreiten, lösen die Meldepflicht aus. Eine klare interne Eskalationsstruktur, die festlegt, wer im Ernstfall die Meldung auslöst, ist deshalb keine Kür, sondern Pflicht.

Wichtiger Hinweis: 24 Stunden sind weniger Zeit, als die meisten Unternehmen denken. Wenn erst beim Vorfall entschieden werden muss, wer zuständig ist und wohin gemeldet wird, ist die Frist in der Regel bereits verstrichen. Etablieren Sie den Prozess jetzt — nicht im Ernstfall.

Haftung der Geschäftsführung bei NIS2-Verstößen

NIS2 ist kein reines IT-Thema — es ist ein Geschäftsführerthema. Das NIS2UmsuCG enthält explizite Regelungen zur persönlichen Verantwortung der Leitungsorgane. Das bedeutet für Sie konkret: Verstöße gegen die Sicherheitspflichten können nicht einfach an die IT-Abteilung delegiert werden.

Bußgeldrahmen nach Kategorie

Besonders wichtige Einrichtungen (bwE). Bußgelder bis zu 10 Millionen Euro sind möglich. Das BSI übt proaktive Aufsicht aus und fordert alle drei Jahre Nachweise über die umgesetzten Maßnahmen — die erste Nachweisfrist läuft bis Dezember 2028.
Wichtige Einrichtungen (wE). Hier liegt der Bußgeldrahmen bei bis zu 7 Millionen Euro. Die Aufsicht erfolgt anlassbezogen, also typischerweise nach einem Vorfall oder einer Beschwerde.

Hinzu kommt: Schulungen der Leitungsebene sind ausdrücklich als Pflichtmaßnahme in §30 BSIG verankert. Die Geschäftsführung muss nicht nur dafür sorgen, dass Maßnahmen umgesetzt werden — sie muss selbst ausreichend informiert sein, um diese Entscheidungen verantwortungsvoll treffen zu können. In der Praxis empfiehlt sich eine dokumentierte Beschlussfassung auf Geschäftsführungsebene, die den NIS2-Umsetzungsstand festhält.

Weiterlesen:Geschäftsführerhaftung: Was GmbH-Geschäftsführer wissen müssen

Lieferkettensicherheit: Anforderungen an Zulieferer und Dienstleister

Eine der in der Praxis am häufigsten unterschätzten Pflichten ist die Lieferkettensicherheit. §30 BSIG verpflichtet betroffene Unternehmen ausdrücklich, auch die Sicherheit ihrer Zulieferer und Dienstleister zu berücksichtigen. Das klingt abstrakt — hat aber sehr konkrete Auswirkungen.

Nehmen wir ein Beispiel aus unserer Beratungspraxis: Ein Produktionsbetrieb in Nürnberg mit 140 Mitarbeitern im verarbeitenden Gewerbe fällt als wichtige Einrichtung unter NIS2. Dieser Betrieb nutzt einen externen IT-Dienstleister für die Wartung seiner Produktionssteuerungssysteme. Unter NIS2 muss das Unternehmen nun sicherstellen, dass auch dieser Dienstleister angemessene Sicherheitsstandards einhält — und das vertraglich absichern.

Was das in der Praxis bedeutet

Lieferantenbewertung. Bestehende Dienstleisterverträge sollten auf Sicherheitsanforderungen überprüft und bei Bedarf nachverhandelt werden.
Vertragliche Absicherung. Sicherheitsanforderungen, Meldepflichten bei Vorfällen und Auditrechte sollten in Verträge aufgenommen werden.
Risikobasierter Ansatz. Nicht jeder Lieferant muss gleich intensiv geprüft werden — konzentrieren Sie sich auf Dienstleister mit Zugang zu kritischen Systemen oder Daten.

Besonders relevant: Cloud-Anbieter, Managed-Service-Provider und Softwarehersteller, die Zugang zu Ihrer IT-Infrastruktur haben. Wer hier auf Standardverträge ohne Sicherheitsklauseln setzt, hat eine Lücke in seiner NIS2-Compliance.

NIS2-Umsetzungsplan: So gehen Sie Schritt für Schritt vor

Die typische Umsetzung dauert je nach Unternehmensgröße und Sektor zwischen 6 und 18 Monaten. Für Mittelständler mit 50 bis 250 Mitarbeitern sind Erstkosten von rund 30.000 bis 80.000 Euro realistisch — abhängig davon, welche Strukturen bereits vorhanden sind. Wer jetzt noch nicht begonnen hat, sollte zügig starten.

Empfohlene Vorgehensweise in fünf Phasen

Phase 1: Betroffenheitsanalyse. Prüfen Sie anhand von Sektor und Unternehmensgröße, ob und als welche Kategorie Ihr Unternehmen unter NIS2 fällt. Vergessen Sie dabei die Konzernklausel nicht — verbundene Unternehmen zählen zusammen.
Phase 2: BSI-Registrierung. Falls noch nicht erfolgt, registrieren Sie sich unverzüglich über das MUK-Portal mit Ihrem ELSTER-Organisationszertifikat.
Phase 3: Gap-Analyse. Vergleichen Sie Ihren aktuellen Sicherheitsstand mit den 10 Pflichtmaßnahmen nach §30 BSIG. Wo sind die größten Lücken?
Phase 4: Maßnahmenplan und Umsetzung. Priorisieren Sie die identifizierten Lücken und setzen Sie diese systematisch um — beginnend mit den größten Risiken. Dokumentieren Sie jeden Schritt.
Phase 5: Meldeprozesse und Schulungen. Etablieren Sie interne Eskalationswege für Sicherheitsvorfälle und schulen Sie Führungskräfte und Mitarbeiter.

Für besonders wichtige Einrichtungen gilt: Die Nachweispflicht gegenüber dem BSI läuft bis Dezember 2028. Das klingt weit entfernt — aber wer mit einer vollständigen Umsetzung rechnet, die 12 bis 18 Monate dauert, sollte jetzt beginnen, um rechtzeitig fertig zu sein.

Wichtiger Hinweis: NIS2-Compliance ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Sicherheitsmaßnahmen müssen regelmäßig auf ihre Wirksamkeit geprüft, Mitarbeiter kontinuierlich geschult und Änderungen im Unternehmen zeitnah im BSI-Portal gemeldet werden. Planen Sie das als festen Bestandteil Ihrer Unternehmenssteuerung ein.

Die NIS2 Umsetzung ist für viele mittelständische Unternehmen Neuland — aber sie ist machbar. Wer strukturiert vorgeht, die Registrierung erledigt hat und die zehn Pflichtmaßnahmen systematisch abarbeitet, ist auf dem richtigen Weg. Bei TABAK Steuerberatung unterstützen wir Sie dabei, die regulatorischen Anforderungen in Ihren unternehmerischen Alltag zu integrieren — ohne unnötigen Aufwand, aber mit der gebotenen Sorgfalt.

Weiterlesen:Datenschutz und IT-Sicherheit: Was Geschäftsführer 2026 wissen müssen

Hinweis: Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine steuerliche oder rechtliche Beratung dar. Steuerliche und rechtliche Sachverhalte sind individuell verschieden. Für verbindliche Auskünfte wenden Sie sich bitte an einen zugelassenen Berater. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Vollständigkeit und Aktualität der Angaben.

NIS 2 Umsetzung: Was Ihr Unternehmen jetzt konkret tun muss

NIS 2 Umsetzung: Was Ihr Unternehmen jetzt konkret tun muss

NIS2: Welche Unternehmen sind betroffen?